CiscoForums.it

Cisco Users Group
https://ciscoforums.it/

VPN LAN 2 LAN,router fuori dalla VPN

https://ciscoforums.it/viewtopic.php?f=16&t=9277

Pagina 1 di 1

VPN LAN 2 LAN,router fuori dalla VPN

Inviato: gio 31 lug , 2008 5:55 pm
da zot
In pratica i router delle varie sedi sono fuori dalla VPN,se tento di fare ssh da un router all'altro passando per la VPN ottengo un % Destination unreachable; gateway or host down se tento di fare un ping verso una macchina della LAN remota ottengo una serie di U.U.U che vuol dire ,in soldoni, destinazione irragiungibile.
Il problema,mi pare ovvio,è che l'interfaccia interna del router non riesce ad instradare corretamente i pacchetti verso la VPN.
Questo mi causa un sacco di problemi e devo assolutamente risolverlo...
Dal poco che so le VPN lan 2 lan vengono instradate tramite ACL le mie sono del tipo :

SEDE CENTRO STELLA

Codice: Seleziona tutto

crypto map VPN 3 ipsec-isakmp
 description Tunnel to SEDE03
 set peer xx.xx.xx.xx
 set transform-set VPN
 match address 153
!
access-list 100 remark *******************
access-list 100 remark *** ACL RM-NAT0 ***
access-list 100 remark *******************
access-list 100 remark --vpn sedi remote--
access-list 100 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny   ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 deny   ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 remark --to translate--
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
!
access-list 153 remark --VPN-TO-SEDE03--
access-list 153 permit ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
!
SEDE REMOTA

Codice: Seleziona tutto

crypto map VPN 1 ipsec-isakmp
 description Tunnel to CENTRO-STELLA
 set peer xx.xx.xx.xx
 set transform-set VPN
 match address 151
!
access-list 100 remark *******************
access-list 100 remark *** ACL RM-NAT0 ***
access-list 100 remark *******************
access-list 100 remark --vpn centro stella--
access-list 100 deny   ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 remark --to translate--
access-list 100 permit ip 192.168.3.0 0.0.0.255 any
!
access-list 151 remark ************************
access-list 151 remark *** ACL TRAFFICO VPN ***
access-list 151 remark ************************
access-list 151 remark --VPN-TO-CENTRO-STELLA--
access-list 151 permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.0.255
!

Codice: Seleziona tutto

sede03#ping 192.168.0.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
sede03#ssh 192.168.0.1
% Destination unreachable; gateway or host down

sede03#traceroute 192.168.0.1

Type escape sequence to abort.
Tracing the route to 192.168.0.1

  1 [i]ip punto punto telecom[/i]  !A  *  !A
sede03#
Qualche idea?

Inviato: lun 25 ago , 2008 11:40 pm
da zot
Daiiiiiii neanche un "azzì tuoi" .....

Inviato: mar 26 ago , 2008 9:50 am
da Wizard
Fammi capire bene:

- Tu hai un router centro stella + n router periferici
- Dal router centro stella vuoi accedere in telnet agli altri router

?

Inviato: mar 26 ago , 2008 5:41 pm
da zot
in soldoni,c'è il router centro stella che sulla sua interfaccia lan tiene tot Server.
Le VPN dei router periferici sono configurate per far accedere i client delle loro lan ai servizi erogati dai Server...e funziona tutto.
Il problema si presenta nel momento in cui da un router periferico debbo accedere ai servizi erogati dai Server che si trovano nella lan del centro stella.
Es. pratico: voglio fare in modo che l'autenticazione per accedere ad un router periferico passi tramite un server Radius che sta dietro il centro stella...non funziona....anche se da un router periferico cerco di pingare un server o il centro stella stesso, ottengo un "host irrangiungibile"...se la stessa cosa la faccio da una macchina che sta dietro questo router periferico riesco,invece,a raggiungere sia il router centro stella che i server dietro questo router.
In pratica ,l'interfaccia lan dei vari router periferici,è fuori dalla VPN......

Inviato: mer 27 ago , 2008 9:12 am
da Wizard
OK ho capito anche se sta cosa è strana...
Per fare un test del ping fai così:

Codice: Seleziona tutto

sede03#ping 192.168.0.1 source-interface vlan1
Ho messo vlan1 ma può essere anche eth0 o insomma la interfaccia che è il gw della lan[/quote]

Inviato: gio 28 ago , 2008 11:58 am
da zot
Ok se faccio ping 192.168.0.1 source eth0 il ping risponde.........quindi :? ?

Inviato: gio 28 ago , 2008 11:59 am
da Wizard
Quindi devi trovare il modo di fare partire le richieste (ad esempio x la autenticazione) dalle eth0 senò te le fa uscire dalla atm e quindi nn viene tunnelizzato...

Inviato: sab 18 ott , 2008 7:31 pm
da zot
Per autenticazione radius
ip radius source-interface eth0

Per servizio filtraggio URL centralizzato(tipo Websense)
ip urlfilter source-interface eth0

Ci metto tempo ma alla fine ci arrivo
:D

Inviato: lun 20 ott , 2008 7:34 pm
da zot
Non funziona con 877 ...ci sto smadonnando..........
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it